Вики са сигурним кодом: мрежа добрих пракси сигурног кодирања
За унапређење Знање и образовање, и Наука и технологија Генерално, увек је било од највеће важности примена боље и ефикасније акције, мере или препоруке (Добре праксе) за постизање крајњег циља, довести до плода било која активност или процес.
И то програмирање или Развој софтвера Као и свака друга ИТ и професионална делатност, и она има своју „Добре праксе“ повезан са многим сферама, посебно оним повезаним са Циберсецурити произведених софтверских производа. И у овом посту ћемо представити неке «Добре праксе сигурног кодирања », са занимљиве и корисне веб странице под називом „Вики са сигурним кодом“, толико о Развојне платформе слободни и отворени, као приватни и затворени.
Лиценце за развој слободног и отвореног софтвера: Добре праксе
Пре него што уђемо у тему, као и обично, оставићемо касније неке линкове до претходних публикација везаних за тему «Добре праксе у програмирању или развоју софтвера ».
"... Добре праксе које је осмислио и ширио "Кодекс за развојну иницијативу" Међуамеричке развојне банке, о делокругу Софтвер за лиценцу, што се мора предузети при развоју софтверских производа (дигиталних алата), посебно бесплатних и отворених." Лиценце за развој слободног и отвореног софтвера: Добре праксе
Вики са сигурним кодом: Добре праксе сигурног кодирања
Шта је Вики о сигурном коду?
Као што каже његов текст сајт:
"Вики са сигурним кодом врхунац је сигурних пракси кодирања за широк спектар језика."
И ти си добре праксе и веб страницу „Вики са сигурним кодом“ су створили и одржавали индијска организација тзв Паиату.
Примери добре праксе према врстама програмских језика
Пошто је веб локација на енглеском, показаћемо неке примери сигурног кодирања о разним програмски језици, неке бесплатне и отворене, а друге приватне и затворене, нуди их наведена веб локација за истражити потенцијал и квалитет садржаја натоварен.
Поред тога, важно је то нагласити Добра пракса приказан на Развојне платформе следећи:
- . НЕТ
- Јава
- Јава за Андроид
- Котлин
- НодеЈС
- Објецтиве Ц
- PHP
- Питон
- рубин
- Брз
- WordPress
Подељени су у следеће категорије за радне језике:
- А1 - Ињекција (Ињекција)
- А2 - Аутентификација је прекинута (Неисправна аутентификација)
- А3 - Изложеност осетљивих података (Изложеност осетљивим подацима)
- А4 - КСМЛ спољни ентитети (КСМЛ спољни ентитети / КСКСЕ)
- А5 - Неисправна контрола приступа (Неисправна контрола приступа)
- А6 - Безбедносна деконфигурација (Сигурносна погрешна конфигурација)
- А7 - Цросс Сите Сцриптинг (Цросс-Сите Сцриптинг / КССС)
- А8 - Несигурна десериализација (Несигурна десеријализација)
- А9 - Коришћење компонената са познатим рањивостима (Коришћење компонената са познатим рањивостима)
- А10 - Недовољна регистрација и надзор (Недовољно евидентирање и надзор)
Такође подељен у следеће категорије за мобилне језике:
- М1 - Неправилна употреба платформе (Неправилна употреба платформе)
- М2 - Несигурно складиштење података (Несигурно складиштење података)
- М3 - Несигурна комуникација (Несигурна комуникација)
- М4 - Небезбедна аутентификација (Несигурна аутентификација)
- М5 - недовољна криптографија (Недовољна криптографија)
- М6 - Небезбедно овлашћење (Несигурно овлашћење)
- М7 - Квалитет шифре купца (Квалитет клијентског кода)
- М8 - Манипулација кодом (Неовлашћено кодовање)
- М9 - Обрнути инжењеринг (Обрнути инжењеринг)
- М10 - чудна функционалност (Вањска функционалност)
Пример 1: .Нет (А1- Ињецтион)
Коришћење објектног релационог мапирања (ОРМ) или ускладиштених процедура је најефикаснији начин за сузбијање рањивости СКЛ убризгавања.
Пример 2: Јава (А2 - аутентификација је прекинута)
Кад год је то могуће, примените вишефакторску потврду идентитета како бисте спречили аутоматско пуњење акредитива, грубу силу и поновну употребу напада на украдене акредитиве.
Пример 3: Јава за Андроид (М3 - несигурна комуникација)
Неопходно је применити ССЛ / ТЛС на транспортне канале које мобилна апликација користи за пренос осетљивих информација, токена сесија или других осетљивих података на позадински АПИ или веб услугу.
Пример 4: Котлин (М4 - несигурна аутентификација)
Избегавајте слабе обрасце
Пример 5: НодеЈС (А5 - Лоша контрола приступа)
Контроле приступа модела треба да намећу власништво над записима, уместо да дозволе кориснику да креира, чита, ажурира или брише било који запис.
Пример 6: Циљ Ц (М6 - Одобрење је несигурно)
Апликације треба да избегавају употребу претпостављивих бројева као идентификационе референце.
Пример 7: ПХП (А7 - Цросс Сите Сцриптинг)
Кодирајте све посебне знакове помоћу хтмлспециалцхарс () или хтмлентитиес () [ако је унутар хтмл тагова].
Пример 8: Питхон (А8 - Несигурна десеријализација)
Пицкле и јсонпицкле модул није сигуран, никада га не користите за десериализацију непоузданих података.
Пример 9: Питхон (А9 - Коришћење компонената са познатим рањивостима)
Покрените апликацију са најмање привилегованим корисником
Пример 10: Свифт (М10 - чудна функционалност)
Уклоните скривену позадинску функционалност или друге интерне сигурносне контроле развоја које нису намењене објављивању у производном окружењу.
Пример 11: ВордПресс (КСМЛ-РПЦ онемогућен)
КСМЛ-РПЦ је ВордПресс функција која омогућава пренос података између ВордПресс-а и других система. Данас га је у великој мери заменио РЕСТ АПИ, али је и даље укључен у инсталације ради повратне компатибилности. Ако је омогућено у ВордПрессу, нападач, између осталог, може да изврши грубу силу, пингбацк (ССРФ) нападе.
Закључак
Надамо се овоме "користан мали пост" о веб локацији која се зове «Secure Code Wiki», који нуди драгоцен садржај везан за «Добре праксе сигурног кодирања »; је од великог интереса и корисности, у целини «Comunidad de Software Libre y Código Abierto» и од великог доприноса ширењу дивног, гигантског и растућег екосистема апликација «GNU/Linux».
За сада, ако вам се свидело ово publicación, Не престај поделите то са другима на вашим омиљеним веб локацијама, каналима, групама или заједницама друштвених мрежа или система за размену порука, по могућности бесплатно, отворено и / или сигурније као Telegram, Сигнал, Мастодонт или неко други од Федиверсе, по могућности.
И не заборавите да посетите нашу почетну страницу на «DesdeLinux» да истражите још вести, као и да се придружите нашем званичном каналу Телеграм од DesdeLinux. За више информација можете посетити било који Интернет библиотека као ОпенЛибра y ЈедИТ, за приступ и читање дигиталних књига (ПДФ-ова) на ову тему или других.
Занимљив чланак, требало би да буде обавезан за сваког програмера ..